Управление рисками информационной безопасности

Управление рисками информационной безопасности – это непрерывный процесс, основной задачей которого является своевременное обнаружение, оценка и уменьшение рисков вероятности появления угроз разглашения конфиденциальной или коммерчески важной информации об организации. Грамотное управление рисками ИТ помогает объективно оценивать уровень обеспечения сохранности данных на предприятии, обнаруживать наиболее уязвимые участки и верно определять величину оптимальных затрат на поддержание информационной безопасности (ИБ).

Ключевые задачи, решаемые с помощью эффективного управления рисками информационной безопасности:

• формирование модели взаимодействия бизнес-процессов и ИТ инфраструктуры для определения самых ценных активов;
• оценка нацеленных на них рисков;
• прогнозирование и выявление вероятных нарушений и угроз ИБ;
• формирование комплекса мероприятий для снижения наступления рисков;
• создание плана их уменьшения;
• оценка остаточных рисков после принятия мер по их предотвращению и снижению.

Проблемы управления информационными рисками

В процессе внедрения системы управления информационной безопасностью (СУИБ) каждая организация обязана подумать и о создании мощной системы управления рисками. Сложность может возникнуть из-того, что мнения специалистов по данному вопросу несколько расходятся: одни не верят в эффективность применения количественных методов оценки ИБ рисков, другие - качественных, третьи вообще не считают нужным их как-то оценивать.

Бывает, что эксперты упрекают отечественный бизнес в недостатке внимания к проблеме информационной безопасности и из-за сложностей получения реальной информации о конкретных активах компаний. Случается, что аналитики, не зная, как обосновать издержки на поддержание корпоративной ИБ, говорят, что управление информационными рисками требует столько ресурсов, сколько предприятие способно на него выделить. Также существует подход, при котором на решение этой задачи идут средства, оставшиеся в бюджете после всех основных затрат. В итоге компании по-разному относятся к проблеме угрозы информационных рисков и используют различные способы управления ими.

Определение основных и вспомогательных активов при управлении рисками информационной безопасности

В бизнесе само понятие риска подразумевает, что организация в случае его появления может понести определенные убытки - как материальные, так и косвенные, выражающиеся в так называемой упущенной выгоде. Иногда последствия нарушения информационной безопасности могут быть такими серьезными, что способны привести к серьезному ухудшению положения и даже разорению компании. Поэтому контроль над информационными рисками необходим тем, кто не желает лишаться своего бизнеса, то есть практически всем.

Для того, чтобы достичь своих бизнес-целей, предприятие имеет и использует основные ресурсные категории, называемые активами. Это означает, что актив – то, что имеет ценность для данной компании и помогает ему получать прибыль, а также сберегать финансы.

Активы могут быть:

• материальными
• финансовыми
• трудовыми
• информационными

Также действующие международные стандарты допускают выделение еще одного, дополнительного вида активов, включающего в себя процессы, являющиеся агрегированными активами, которые оперируют другими видами активов для достижения поставленных целей.

Деловая репутация и образ организации в наше время остаются одним из наиболее ценных для нее активов. Их часто считают особыми информационными активами, так как имидж и репутация являются содержанием распространяемых о предприятии сведений. Проведение анализа информационных рисков практически всегда доказывает, что ими никогда не следует пренебрегать, потому что разглашение определенных данных об организации может негативно повлиять на ее деловой имидж и репутацию, что повлечет за собой потерю потребителей и партнеров.

Чтобы вести бизнес успешно и долго, нужно не забывать о внешних и внутренних факторах, которые можно отнести к рискам, поскольку они могут отрицательно отразиться на состоянии одного или даже нескольких важных активов. Например, сбой в компьютере или сети может повлиять на уровень доступности секретной информации, не говоря уже о том, что плохая работа ИТ сервисов ухудшает отношение потребителей и способствует потери компанией прибыли. Поэтому обслуживанию системы и поддержанию информационной безопасности следует уделять повышенное внимание, привлекая для этого специализированные компании, обладающие требуемым уровнем компетенции, как ALP Group.

Как мы видим из всего вышесказанного, предприятию важны все его активы - и первичные, и вспомогательные. Первичные - это ресурсы, без использования которых организация не может осуществлять ведение своего бизнеса. Это могут быть как материальные (недвижимость, земля, оборудование), так и финансовые (инвестирование, кредиты, страхование) активы. К тому же бизнес компании может зависеть и от уровня компетенции ее сотрудников (аудит, консалтинг, обучение), и от информационных активов (создание ПО, интернет-коммерция и др.).

Риски первичных активов угрожают потерей бизнеса либо большими убытками. Риски вспомогательных - потерями, которые возможно будет в дальнейшем возместить. По этой причине второй вид рисков не считают основным в системе управления рисками, в то время как первому уделяется повышенное внимание. Управление вспомогательными активами в ряде случаев поручается внешней компании в рамках аутсорсинга, потому что такое решение помогает увеличить действенность управления предприятием.

Подходы к управлению рисками ИБ

На данный момент наиболее распространенными являются три ключевых подхода, которые отличаются уровнем глубины и формализации. Выбор одного из них определяется тем, насколько компания обеспокоена угрозой своей информационной безопасности. В том случае, если информационные активы являются вспомогательными, а не основными (а так обычно и бывает в большинстве российских организаций), то потребность в оценке рисков нельзя назвать такой уж высокой. Речь, скорее, идет о поддержании базового уровня ИБ, который должен быть определен действующими стандартами и нормативами, а также полученным опытом – как своим, так и других представителей бизнеса. Стоит отметить, что стандарты, описывающие главные требования и механизмы обеспечения безопасности, предусматривают и проведение оценки рисков и необходимости применения инструментов контроля: это помогает выбрать наиболее подходящие для предприятия нормы и инструменты.

Там, где информационные активы хотя и не являются основными, но есть высокая информатизация процессов, оценка рисков жизненно необходима. Однако в этом случае удобнее всего пользоваться неформальным качественным подходом, при котором пристальное внимание уделять нужно наиболее слабым местам системы. Если же бизнес базируется непосредственно на информационных активах, данные риски должны считаться основными. Из-за этого для их оценки придется применять формальный подход и количественный метод.

Во многих организациях одинаково ценными могут быть не один, а несколько групп активов. Если, допустим, фирма занимается созданием информационных продуктов, то для нее будут одинаково важными и трудовые, и информационные ресурсы. Поэтому самым оправданным в такой ситуации окажется применение рационального подхода, когда будет осуществляться многоуровневая оценка рисков. Это позволит узнать, какие компоненты ИТ инфраструктуры более всего подвержены риску и какие являются критическими для ведения бизнеса, и провести впоследствии комплексную оценку остальных рисков. Для не настолько критичных систем принято пользоваться базовым подходом, осуществляя управление рисками ИТ с использованием накопленного опыта и выводов экспертов.

Специалисты ALP Group всегда готовы помочь вам с оптимизацией работы вашей ИТ инфраструктуры. Мы обеспечим сохранность конфиденциальной бизнес-информации и защитим вашу организацию от рисков, связанных с разглашением данных, способных нанести урон вашей деловой репутации и имиджу.